DarkNimbus דלת אחורית
קבוצת איומים שלא זוהתה בעבר, המכונה כעת מינוטאור כדור הארץ, צצה כשחקן משמעותי במעקב סייבר. באמצעות כלים מתוחכמים כמו ערכת הניצול MOONSHINE ודלת אחורית שזוהתה לאחרונה בשם DarkNimbus, Earth Minotaur הוכיח את יכולתו למקד הן למכשירי אנדרואיד והן ל-Windows במאמץ מחושב לחדור ולנטר את הקהילות הטיבטיות והאויגוריות.
תוכן העניינים
ערכת ניצול MOONSHINE: שער לאיומים חוצי פלטפורמה
הפעילות המרכזית של המינוטאור בכדור הארץ היא ערכת הניצול MOONSHINE. MOONSHINE תועד במקור בשנת 2019 במהלך התקפות סייבר על מטרות טיבטיות, MOONSHINE מנצל נקודות תורפה בדפדפנים ובאפליקציות מבוססי Chromium כדי לספק את המטענים שלה. מאז הוא התפתח, תוך שהוא משלב פגיעויות נוספות כמו CVE-2020-6418, פגם במנוע V8 JavaScript שתוקנה על ידי גוגל בתחילת 2020.
ערכת הניצול היא רב-תכליתית במיוחד. הוא מכוון ליישומים כמו Google Chrome, WeChat, QQ ו-LINE ונועד לחדור למכשירים של קורבנות דרך קישורים פגומים. קישורים אלו מוסווים לרוב כתוכן שפיר, כגון הכרזות או מולטימדיה הקשורים לקהילות הטיבטים והאויגוריות, כדי למקסם את האפקטיביות של טקטיקות הנדסה חברתית.
DarkNimbus: דלת אחורית רב-תכליתית וחודרנית
ברגע ש-MOONSHINE משיגה גישה למכשיר, הוא מספק את הדלת האחורית DarkNimbus, כלי שהונדס במיוחד למעקב ארוך טווח.
DarkNimbus באנדרואיד
גרסת האנדרואיד של DarkNimbus היא פולשנית במיוחד, וממנפת את פרוטוקול XMPP כדי לתקשר עם המפעילים שלה. הוא מצויד כדי לסנן נתונים רגישים, כולל:
- מטא נתונים של המכשיר
- נתוני מיקום גיאוגרפי
- היסטוריית שיחות
- אנשי קשר והודעות
- סימניות דפדפן ותוכן לוח
DarkNimbus גם מנצל את שירותי הנגישות של אנדרואיד כדי ליירט הודעות מיישומי תקשורת פופולריים כמו WhatsApp, WeChat ו-Skype. בנוסף, הוא יכול לבצע פקודות מעטפת, להקליט שיחות, לצלם צילומי מסך ואפילו להסיר את התקנתו כדי להתחמק מזיהוי.
DarkNimbus ב-Windows
למרות שהיא פחות עשירה בתכונות, גרסת Windows נותרה כלי רב עוצמה לסילוק נתונים. פעיל מאז סוף 2020, הוא יכול ללכוד מידע מערכת, הקשות, נתוני לוח, אישורים שמורים והיסטוריית דפדפן.
הנדסה חברתית ושרשראות ניצול: האנטומיה של התקפה
המינוטאור האדמה מסתמך במידה רבה על הנדסה חברתית כדי לפתות קורבנות למלכודת שלו. קישורים מאיימים המוטמעים ביישומי הודעות מיידיות מפנים קורבנות לאחד מ-55 שרתי ניצול MOONSHINE. שרתים אלה פורסים אסטרטגיות שונות המבוססות על תצורת המכשיר והדפדפן של הקורבן:
- ניצול ביצוע : אם מזוהות פגיעויות, השרת מתקין את הדלת האחורית של DarkNimbus.
- ניתוב מחדש של פישינג : אם ניצול נכשל, הקורבנות עלולים להיתקל בדפי דיוג הקוראים להם לעדכן את הדפדפנים שלהם, מה שעלול להוביל לפשרות נוספות.
במקרים מסוימים, ההתקפה כוללת שדרוג לאחור של מנוע הדפדפן בתוך יישומים כמו WeChat, החלפתו בגרסה טרויאנית המאפשרת גישה מתמשכת.
הטווח הגלובלי של המינוטאור כדור הארץ
פעילות הקבוצה אינה מוגבלת גיאוגרפית. קורבנות זוהו ב-18 מדינות, כולל ארה"ב, קנדה, הודו, גרמניה וטייוואן, מה שמדגיש את ההיקף העולמי של פעילותה.
בעוד MOONSHINE נקשר לקבוצות איומים אחרות כמו POISON CARP ו-Earth Empusa, Earth Minotaur פועל באופן עצמאי. ההתמקדות של הקבוצה בקהילות טיבטיות ואויגוריות עולה בקנה אחד עם קמפיינים דומים של יריבים כמו Evasive Panda ו-Scarlet Mimic. עם זאת, כדור הארץ המינוטאור בולט בשימוש שלו בכלים בעלי יכולת הסתגלות גבוהה ושרשראות זיהום מתוחכמות.
האבולוציה המתמשכת של MOONSHINE
MOONSHINE נשאר ערכת כלים בפיתוח פעיל ומשותף בין גורמי איומים שונים, כולל UNC5221 ו- Earth Minotaur. המשך השכלול שלה מדגיש את התמדתם של יריבים המכוונים לקהילות פגיעות.
מחשבות אחרונות: זיהוי והפחתת האיום
המינוטאור כדור הארץ מדגים את המורכבות ההולכת וגוברת של התקפות סייבר ממוקדות. קוראים למשתמשים לשמור על תוכנה מעודכנת, לנקוט משנה זהירות בקישורים לא רצויים ולהישאר ערניים מפני ניסיונות דיוג. בעוד שחקני איומים משכללים את הטקטיקה שלהם, אמצעי אבטחת סייבר יזומים נותרו קו ההגנה הראשון מפני איומים מתפתחים כמו המינוטאור כדור הארץ.
